Hay bromas que pueden salir caras, y, sino que se lo digan a la empresa titular de la conocida app de realización de bromas telefónicas JUASAPP.

Esta aplicación, que aún se puede descargar, se hizo muy popular en 2014, y permite a cualquier tercero escoger de entre un listado una broma, en formato de archivo de audio pregrabado vía telefónica, para que sea enviada al número de destino seleccionado por dicho usuario, pudiendo mantener el anonimato de la persona que gasta la broma.

Una vez realizada la broma, la aplicación ofrece la posibilidad de generar el fichero de grabación de la misma, de manera que el usuario pueda posteriormente reproducir, descargar y compartir el fichero de audio que contiene la grabación.

Algunas de estas bromas consistían, por citar algunos ejemplos, en alertar a una madre de un incidente en el comedor del colegio de su hijo, acusar a una persona de robar la luz, hacerse pasar por una asesoría jurídica en relación con una multa de tráfico, etc.

No todos los receptores de dichas bromas encontraron “la gracia” en estos hechos, sino que los denunciaron ante la Agencia Española de Protección de Datos (AEPD), manifestando que habían visto vulnerada su intimidad.

La AEPD, vistas las denuncias presentadas acordó iniciar varios procedimientos sancionadores, dictando finalmente resolución sobre los mismos  (ver aquí), e imponía a la entidad una sanción de 7.500 euros por considerar infringidos ciertos preceptos de la ya derogada Ley Orgánica 15/1999 de Protección de datos de carácter personal (LOPD).

Dicha resolución fue recurrida por los denunciantes llegando tanto a la Audiencia Nacional, (AN) que confirmaba la sanción impuesta en su Sentencia de 29 de noviembre de 2018, como al Tribunal Supremo (TS), que igualmente ratificaba el pasado mes de junio la resolución dictada en su día por la AEPD en su Sentencia STS 1771/2020.

El TS se centra ahora en dar respuesta a las tres alegaciones planteadas por la entidad titular de la app en sus recursos:

  1. Que la actividad desarrollada mediante JUASAPP se limita a proporcionar un medio de ocio a los particulares en el ámbito personal o doméstico.

Según la entidad, el hecho de gastar una broma es una actividad personal, y ellos actúan como simples mediadores entre el "abromado" y la persona que quiere gastar la broma contratada a través de esa app, poniendo a su disposición los medios, pero no usando la información para ningún otro fin que prestar el servicio contratado por el cliente y si la grabación se difunde, es por decisión del usuario que ha gastado la broma.

Publicado en Blog

El pasado 1 de junio, la Agencia Española de Protección de Datos (AEPD) público el Plan de inspección de oficio en la atención sociosanitaria. Dicho documento se centra por primera vez en analizar los tratamientos de datos de carácter personal que se realizan en el ámbito sociosanitario, además de llevar a cabo una investigación en cuanto al cumplimiento normativo en materia de protección de datos de dicho ámbito.

Iniciamos el análisis de dicho plan clarificando el concepto de atención sociosanitaria, aquella que viene a coordinar la asistencia sanitaria y social centrándose en colectivos especialmente vulnerables como, entre otros, la tercera edad, enfermos crónicos, personas con alguna discapacidad física, psíquica o sensorial, y en riesgo de exclusión social.

Sentadas las bases conceptuales, estimamos conveniente referirnos a la estructura del “Plan de inspección de oficio en la atención sociosanitaria”:

  • Resumen ejecutivo
  • Introducción
  • Objetivos
  • Concepto de atención sociosanitaria
  • Situación del espacio sociosanitario en España
  • Metodología y actuaciones realizadas en el plan
  • Conclusiones y recomendaciones
  • Preguntas frecuentes
  • Retos futuros
  • Anexos

En concreto, en nuestro articulo veremos de una forma concisa los puntos relativos a la metodología y actuaciones realizadas, así como las conclusiones y recomendaciones que la AEPD realiza al respecto.

¿Qué actuaciones ha realizado la AEPD a lo largo del plan de inspección?

  1. Planificación de la auditoría: fase en la que se determinan los objetivos, las fases y el calendario de actuaciones. Asimismo, se lleva a cabo un estudio sobre el ámbito sociosanitario en España. Como parte final de esta planificación se realiza una reunión con el IMSERSO, en aras de conocer inquietudes y dudas respecto del tratamiento de datos de carácter personal efectuados en residencias y centros sociosanitarios.
  2. Solicitudes de información y documentación: en esta actuación se procedió a solicitar la información pertinente a las Consejerías de Asuntos Sociales de todas las Comunidades Autónomas, a excepción de Cataluña y País Vasco, así como al Ministerio de Sanidad. Esta solicitud se realiza en vistas a poder conocer el abanico de tratamientos de datos de carácter personal que aplica a la atención sociosanitaria en España.
  3. Realización de Inspecciones: durante los meses de septiembre a diciembre de 2018 se realizaron inspecciones presenciales en distintos centros sociosanitarios preseleccionados. En estas inspecciones se ha procedido a auditar los procedimientos en materia de protección de datos establecidos en cada centro, para lo cual se han mantenido reuniones tanto con responsables como con encargados del tratamiento.
  4. Fase Final: una vez que la AEPD disponía de toda la información necesaria procedió a la elaboración del documento de plan de inspección sobre el que versa el presente artículo.

De las solicitudes de información y documentación realizadas en el plan de inspección, la AEPD ha determinado que la tipología de datos de carácter personal que se suelen tratar en los centros sociosanitario es la siguiente:

  • Datos básicos personales y bancarios (Nombre y apellidos, teléfono, etc.)
  • Datos sanitarios (Historia clínica, tratamientos, etc.)
  • Historia social (Informes sociales, sociofamiliares, etc.)
  • Informes psicopedagógicos
  • Datos de evaluación de autonomía (pruebas de evaluación, diagnostico, etc.)
  • Registro de incidencias ocurridas durante la estancia en el centro.
  • Contrato de convivencia firmado con el centro.
  • Plan de atención personalizada del usuario.
  • Datos de contacto de familiares o responsables del usuario.

Siendo la mayoría de estos datos considerados como categorías especiales, la AEPD recuerda la necesidad de seguir garantías específicas, estableciendo las medidas adecuadas para proteger los derechos de los usuarios y, en concreto, que los tratamientos sean realizados por profesionales sujetos al secreto profesional, o bajo su responsabilidad. Así, la observancia del principio de minimización es esencial, y con ella el tratamiento de datos adecuados, pertinentes y limitados al objetivo perseguido, aplicándose las medidas técnicas y organizativas que así lo garanticen.

¿Cuáles son las conclusiones más relevantes del plan?

Publicado en Blog

En nuestra última publicación del blog (ver aquí), hemos analizado los informes mensuales emitidos por la Agencia Española de Protección de Datos (AEPD), respecto a las notificaciones de brechas de seguridad que ha recibido hasta el mes de noviembre del ya pasado año 2019. De tal análisis, hemos concluido que, de las 1296 notificaciones de brechas de seguridad recibidas, sólo 79 se llegaron a trasladar a la Subdirección General de Inspección de Datos para el esclarecimiento de los hechos y que, no obstante, se llegaron a archivar la mayor parte de las actuaciones, al haberse analizado tanto la diligencia de responsables y encargados, como las medidas que han sido aplicadas para evitar los posibles incidentes de seguridad (principio de responsabilidad proactiva).

La AEPD vuelve a reafirmarse en esta postura en una reciente resolución (PS/00305/2019), en la que, por el contrario, impone una sanción a una entidad la cual ha sufrido una brecha de seguridad, por considerar en este caso, que se ha producido una infracción del artículo 32 del Reglamento  General Europeo de Protección de Datos (RGPD), al no haberse aplicado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

En concreto, la brecha de seguridad a la que nos referimos consistió, en la pérdida de seis pendrives sin cifrar, que contenían datos personales de aproximadamente once mil personas. Este incidente tuvo lugar en la sede uno de los sindicatos más representativos, que se situaba dentro del edificio de la empresa, y le ocurrió precisamente a un Delegado de sección sindical, que por tal condición, tenía acceso a la oficina, y cuya propiedad de los pendrives ostentaba. Por ello, pese a que se trate de un trabajador de la empresa, la información no se ha visto afectada dentro de sus funciones como trabajador, sino como Delegado Sindical.

En primer lugar, debemos hacer referencia a que la empresa ha alegado que, la pérdida de los dispositivos de almacenamiento no ha sido en ningún caso consecuencia de una actitud negligente por su parte puesto que, la comunicación de los datos a los sindicatos está legitimada en el artículo 6.1 c) del RGPD, siendo el tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (Ley Orgánica 11/1985, de 2 de agosto, de Libertad Sindical). Además, hace hincapié en que, en dicha remisión, se han guardado todas las medidas de seguridad necesarias y que, de todas formas, ella no tiene ninguna potestad para decidir acerca de cómo tratar los datos, ni les da instrucciones a los sindicatos acerca de cómo tratar los mismos, puesto que precisamente se trata de una comunicación y no de un acceso a datos por cuenta de un tercero, propio de una relación responsable – encargado del tratamiento.

No obstante, pese a las alegaciones formuladas por la entidad y, tratarse de dos responsables del tratamiento totalmente independientes la AEPD ha sancionado únicamente a la empresa, considerando a ésta la única responsable de la infracción, resultando curiosa esta decisión de la AEPD a la hora de sancionar únicamente a la entidad, principalmente por no justificar o entrar a valorar sus alegaciones, y determinar realmente quien es el responsable del tratamiento en este caso, máxime cuando la brecha ha sido notificada tanto por la empresa como por el sindicato.

En segundo lugar, respecto a la imposición de la multa administrativa en sí misma, la AEPD en virtud del artículo 83.2 del RGPD y atendiendo al caso concreto, ha tenido en cuenta dos factores agravantes y uno atenuante a la hora de determinar la cuantía de la misma:

Publicado en Blog

Recién estrenado el 2020 y como en años anteriores la Unidad de Evaluación y Estudios Tecnológicos de la Agencia Española de Protección de Datos emite un informe anual en el que se resumen las características principales de las notificaciones de brechas de seguridad recibidas por la Agencia Española de Protección de Datos (AEPD) en virtud del artículo 33 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE ( en adelante RGPD).

Pues bien, a la espera de que la AEPD publique el correspondiente informe anual y en base a los datos extraídos de los informes mensuales emitidos hasta el mes de noviembre de este último año tan sólo 79 de las 1296 notificaciones de brecha de seguridad han sido trasladadas a la Subdirección General de Inspección de Datos (en adelante SGID) para el esclarecimiento de los hechos al apreciar la existencia de riesgo alto para los derechos y libertades de los ciudadanos o que se requiere una investigación adicional para determinar la existencia de dicho riesgo.

 
 BRECHAS NOTIFICADAS ANTE LA AEPD    TRASLADADAS A SGID
 Enero 78  8
 Febrero 101  13
 Marzo 113  3
 Abril 95  7
 Mayo 84  0
 Junio 92  15
 Julio 83  14
 Agosto 42  0
 Septiembre 133  8
 Octubre 266  7
Noviembre 209  4
TOTAL 1296  79

¿Pero cómo determinar si existe un riesgo alto para los derechos y libertades de los ciudadanos?

Publicado en Blog

En la actualidad, todos estamos acostumbrados a realizar compras a través de internet, pero en el periodo navideño en el que nos encontramos éstas se incrementan. Debido a lo anterior, es importante que seamos conscientes de que cuando tenemos un negocio online (e-commerce) estamos expuestos a sufrir ataques y violaciones de seguridad mediante nuestros sistemas informáticos.

Actualmente, la figura del ciberdelincuente, entendido como: aquella persona experta en alguna rama tecnológica que accede a un sistema informático o a informaciones ubicadas en dicho sistema o en la red de comunicaciones, no es desconocida para nadie.

Si bien es cierto que existen muchos más delitos, ataques y violaciones informáticas a las que nuestro negocio online puede estar expuesto, en el presente artículo nos vamos a centrar en el denominado E-Skimming.

Pero ¿qué es el E-Skimming?

El objetivo de los ciberdelincuentes con esta técnica no es otro que conseguir información tanto bancaria como personal de tiendas online legítimas, de tal manera que una vez que consiguen dicha información pasarán o bien a venderla en el mercado negro, o bien a utilizarla en su propio beneficio.

¿Cómo se produce el E-Skimming?

Lo primero que necesitan los ciberdelincuentes es poder acceder a la tienda online, para lo cual se aprovechan de las propias vulnerabilidades del gestor de contenidos, como puede ser el no tener una contraseña lo suficientemente robusta o no contar con las últimas actualizaciones de los sistemas utilizados, o a través de las ya más que conocidas campañas phishing. Una vez que se ha conseguido tener acceso a la tienda online, realizan las modificaciones necesarias de tal manera que cuando el cliente final realiza una compra e introduce sus datos, estos se visualicen tanto por el banco, como por el ciberdelincuente.

Este tipo de técnica afecta tanto a los comercios online que tienen la pasarela de pago integrada en su tienda, como a los que trabajan a través de la pasarela de pago de un tercero. La diferencia principal es que, en el primero de los supuestos, la información personal y bancaria de los clientes es gestionada internamente por el responsable de la tienda online, en el segundo de los supuestos, aunque la información bancaria no es gestionada directamente por el responsable, los datos de carácter personal pueden ser robados igualmente.  

¿Cómo podemos evitar o minimizar los riesgos de sufrir un ataque e-Skimming?

Publicado en Blog

Muchos son los interrogantes que se nos plantean a la hora de determinar si podemos o no considerar las matrículas de los vehículos como datos de carácter personal conforme a la legislación vigente.

Si bien es cierto que el criterio mayoritario que nuestra autoridad de control en materia de protección de datos (Agencia Española de Protección de Datos, en adelante “AEPD”) está adoptando, es el considerar que las matrículas de los vehículos sí constituyen un dato de carácter personal, y, por tanto, sometidas a las previsiones recogidas en la normativa en materia de protección de datos (Reglamento General de Protección de Datos, en adelante “RGPD” y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantías de los Derechos Digitales), a continuación podemos comprobar que estos pronunciamientos no son de carácter unánime, tanto por parte de la propia AEPD, como por otros Tribunales, al considerar que tales datos no son datos de carácter personal.

En primer lugar, y para poder dar una respuesta a esta cuestión, debemos preguntarnos, ¿qué es un dato de carácter personal?

El artículo 4.1 RGPD define dato de carácter personal como “toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.”

Atendiendo a la definición que el propio RGPD nos proporciona del concepto de dato de carácter personal, podemos inferir que, mediante la matrícula de un vehículo, indirectamente se podría llegar a identificar al titular del vehículo, y, por tanto, tratarse de un dato de carácter personal.

Ahora bien, ¿en qué supuestos ha entendido la AEPD que las matrículas de vehículos son datos de carácter personal?

Publicado en Blog

El Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado el pasado mes de julio (ST TJUE 29.07.19) al respecto. En dicha resolución se ha determinado por parte de la sala que tanto el administrador de un sitio web en el que se incluya el botón “me gusta” de Facebook (o cualquier otra red), como el de la propia red social serán considerados como responsables del tratamiento.

El origen del objeto de la Sentencia surge cuando Fashion ID, empresa dedicada a la venta online de prendas de vestir, decide insertar en su propia página web el famoso botón “me gusta” de la conocida red social Facebook. Este simple hecho, y que vemos en otras muchas páginas web, implica la transmisión de datos del visitante, a dicha red, sin mediar conocimiento ni previo consentimiento por parte del usuario. Ante esta situación, la Asociación de utilidad pública de defensa de los intereses de los consumidores (Verbraucherzentrale NRW,) decidió ejercitar una acción de cesación contra Fashion ID, con el objetivo de que se dejase de realizar la transmisión de datos personales de los visitantes de su sitio web, sin previo consentimiento y sin informarles.

Antes de analizar en profundidad la resolución definiremos tanto la figura de responsable como la de encargado del tratamiento, art.4 RGPD:

  • Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
  • Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Una vez determinadas las figuras que podrían darse en este caso, nos puede surgir la siguiente pregunta: ¿por qué el TJUE considera que tanto Fashion ID como Facebook son responsables del tratamiento?

Publicado en Blog

Hace unas semanas publicábamos en este Blog un artículo sobre los conceptos y claves de la anonimización de datos de carácter personal, partiendo para ello del análisis de la guía de la Agencia Española de Protección de Datos (AEPD) que recoge una serie de orientaciones y garantías en los procesos de anonimización de datos de carácter personal.

Si bien es cierto que la guía no tenía un carácter novedoso, ya que fue publicada por la AEPD hace varios años, los procesos de anonimización sobre conjuntos de datos personales son actualmente un pilar base para responsables y encargados del tratamiento, en lo que a medidas de seguridad se refiere.

Sin embargo, una de las problemáticas que estos mecanismos plantean, y así lo hacíamos constar en el artículo mencionado, es la dificultad de aplicar un proceso de anonimización que garantice de manera absoluta, la no reidentificación posterior de los titulares de los datos.

Precisamente para abordar cuáles son los límites en la efectividad de esos procesos de anonimización, la AEPD ha publicado hace unos días una nota técnica, en la que también analiza hasta qué punto la información está realmente anonimizada, y cómo se puede gestionar el riesgo de reidentificación.

En este documento, elaborado por la Unidad de Evaluación y Estudios Tecnológicos de la autoridad española de protección de datos, se parte de la base de que, en aplicación del principio de responsabilidad proactiva o accountability establecido en el Reglamento General de Protección de Datos (RGPD), el responsable debe analizar los riesgos en los tratamientos de datos, en este caso concreto, los de reidentificación derivado de sus procesos de anonimización, así como los generados en el proceso posterior y en el enriquecimiento de conjuntos de datos. El fin último de este análisis, no es otro que alcanzar un balance correcto entre la necesidad de obtener unos resultados con una determinada fidelidad, y el coste que el tratamiento puede tener para los derechos y libertades de los ciudadanos.

Para dar solución a este problema y evitar la desanonimización de un conjunto de datos, se ha desarrollado una disciplina conocida como Control de Revelación Estadística o técnicas SDC (Statistical Disclosure Control, más información a este respecto aquí), que tiene como objeto estudiar la forma más óptima de realizar un tratamiento adicional sobre la información de los sujetos de datos, consiguiendo al mismo tiempo maximizar la privacidad y mantener los objetivos establecidos en la aplicación o servicio que explota tales datos.

Si bien es cierto que existen diferentes técnicas orientadas a preservar la privacidad de los datos personales de individuos, todas ellas encaminadas a limitar las amenazas a la privacidad que pueden materializarse al desanonimizar la información, la AEPD centra su análisis en la K-anonimización, técnica ya mencionada por el antiguo Grupo de Trabajo del Artículo 29 en su Opinión 05/2014.

¿En qué consiste realmente la K-anonimidad?

Publicado en Blog

Solamente unos días después de que hayamos tenido las últimas elecciones en España, el Tribunal Constitucional (TC) se ha pronunciado al respecto del artículo 58 bis apartado 1 de la Ley Orgánica de Régimen Electoral General (LOREG) incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales(LOPDGDD), el cual permitía a los partidos políticos recopilar datos sobre las opiniones políticas de los ciudadanos, diciendo textualmente:

“La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas”.

Al respecto de este artículo, el pleno del TC ha aprobado por unanimidad una Sentencia cuyo fallo se ha conocido este mismo miércoles.

En este post vamos a destacar los puntos más importantes, en materia de protección de datos que se disponen en la mencionada Sentencia del TC.

¿Quién y porqué se interpuso este recurso?

El Recurso fue presentado por el Defensor de Pueblo en el mes de marzo, en el que, atendiendo a quejas y solicitudes de diferentes ciudadanos y juristas, se decidió solicitar la anulación del artículo 58.1 bis de la LOREG.

Los motivos de la interposición de este Recurso se fundamentan en la consideración de que se está produciendo la vulneración de los siguientes artículos de la Constitución Española (CE):

  • Principio de seguridad jurídica (Art. 9.3 CE).
  • Derecho a la libertad ideológica (Art. 16 CE).
  • Derecho a la Protección de Datos Personales (Art. 18.4 CE).
  • Derecho de participación política (Art.23.1 CE).
  • Principio de vinculatoriedad, reserva de ley y control constitucional de las leyes de desarrollo. (Art. 53.1 CE).

El Recurso fundamenta esta vulneración en el hecho de que el mencionado artículo permitía algo inédito en nuestro país, como es recopilar datos personales relativos a las opiniones políticas de los ciudadanos y utilizar este perfilado de cada persona enviar propaganda electoral por medios electrónicos o sistemas de mensajería.

Para poder entender por qué es algo inédito, hemos de tener en cuenta que las opiniones políticas de las personas son consideradas por la normativa de protección de datos como “datos de carácter personal especialmente protegidos” (art.9.2.a LOPDGDD), por lo que como regla general para tratar estos datos necesitaríamos el consentimiento explícito del interesado.

A lo anterior, debemos de añadir que el art 9.1. LOPGDD indica que el solo consentimiento del afectado no bastará para levantar la prohibición de tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

Para anular esta prohibición es precisamente para lo que se realizó la modificación normativa por la que se introdujo el apartado 1 del artículo 58 bis de la LOREG.

Cabe en este punto por tanto traer a colación los tres elementos más importantes de la interposición del recurso:

  • No se ha determinado la finalidad del tratamiento, más allá de la mención al “interés público”.
  • No se ha limitado el tratamiento de esos datos.
  • No se han establecido las garantías adecuadas para proteger los derechos fundamentales de los afectados.

Por lo que, debido a estas insuficiencias, se considera que el precepto impugnado habría incurrido en una doble y simultanea vulneración, por infringir la reserva de ley y por no respetar el contenido esencial del derecho fundamental a la protección de datos personales.

Precisamente esta consideración es ahora reafirmada por el TC en su sentencia, al estimar que el derecho fundamental afectado es el de protección de datos personales (Art.18.4 CE), desde una doble perspectiva:

En primer lugar, como derecho autónomo dirigido a controlar el flujo de informaciones concernientes a cada persona.

En segundo lugar, como derecho fundamental instrumental ordenado a la protección del también derecho fundamental a la libertad ideológica.

Una vez sentado esto, el TC enjuicia los tres elementos antes mencionados que conforman la impugnación central:

Publicado en Blog

En la actualidad, muchas empresas dudan acerca de si deben o no firmar contratos con entidades externas que les prestan servicios, como pueden ser las Mutuas, aseguradoras o empresas de prevención de riesgos laborales, entre otras.

Con carácter previo a clarificar esta cuestión, hemos de comenzar haciendo referencia a que la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su disposición adicional transitoria quinta, nos indica cómo tenemos que actuar en lo que respecta a los contratos en materia de protección de datos:

“los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022”.

Por lo tanto, en relación con este artículo, debemos de tener actualizados todos los contratos con nuestros encargados del tratamiento para el año 2022, pero ¿también debemos de realizar este contrato con nuestra Mutua?

Precisamente sobre este tema versará el presente artículo, y para ello, resulta necesario analizar el informe 172302/2018 de la Agencia Española de Protección de Datos (en adelante, AEPD).

A este respecto, en el informe mencionado, la AEPD resuelve una consulta que se le plantea:

¿Las Mutuas colaboradoras con la Seguridad Social tienen la calidad de responsables del tratamiento? O, por el contrario, ¿Deberíamos de firmar un contrato con ellas al ser Encargados del tratamiento?

Como punto de partida cabe aclarar que el Reglamento (UE) 2016/679 de protección de datos (en adelante, RGPD) define la figura de responsable y encargado del tratamiento del siguiente modo:

Artículo 4.7. RGPD configura al responsable del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento…”.

Artículo 4.8 RGPD se refiere al encargado del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.

Por lo tanto, como podemos comprobar, la clave en la distinción de ambas figuras, reside en que el responsable determina los fines y medios del tratamiento de los datos, mientras que el encargado debe de tratar los datos limitándose a las indicaciones del responsable del tratamiento.

Una vez distinguidas las dos figuras, como ya hemos comentado en alguno de los artículos de nuestro blog (AquíAquí ) es necesario referenciar el artículo 28.3 RGPD, el cual exige la existencia de un contrato u otro acto jurídico con arreglo al derecho de la Unión o de los Estados miembros que vincule al encargado respecto del responsable. En dicho contrato deberá de contemplarse, entre otras, la estipulación en la que se indique que el encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, como hemos mencionado antes.

En este punto, nos centraremos en determinar cuál de las dos figuras asumen las Mutuas colaboradoras con la seguridad social, y, en consecuencia, si resulta necesario regular la relación existente entre las partes, mediante el contrato o acto jurídico mencionado.

Al respecto, la AEPD expone en el informe que estamos analizando las siguientes consideraciones para poder fundamentar el criterio establecido:

Publicado en Blog
Página 1 de 2

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal